اخبار امنیت و شبکه

ابزار Sysmon

ابزار sysmon
20
فروردین

ابزار Sysmon در واقع همان System Monitor (Sysmon) یک سرویس سیستم ویندوز است که پس از نصب بر روی یک سیستم، برای نظارت و ثبت فعالیت سیستم در Windows event log قرار میگیرد و اطلاعات دقیقی در مورد ایجاد فرآیند، اتصالات شبکه و تغییرات زمان ایجاد فایل ارائه می دهد.ابزار Sysmon با جمع‌آوری رویدادهایی که با استفاده از Windows Event Collection یا عوامل SIEM تولید می‌کند و متعاقباً تجزیه و تحلیل آنها، می‌توانید فعالیت‌های مخرب یا غیرعادی را شناسایی کنید و متوجه شوید که مزاحمان و بدافزارها چگونه در شبکه شما کار می‌کنند.

 

 

قابلیت های ابزار Sysmon

  • Hash فایل های تصویری پردازش را با استفاده از SHA1 (پیش فرض) ، MD5، SHA256 یا IMPHASH ضبط می کند.
  • می توان همزمان از چندین Hash استفاده کرد.
  • شامل یک process GUID در رویدادهای ایجاد فرآیند است تا امکان correlation رویدادها را فراهم کند حتی زمانی که ویندوز از شناسه‌های فرآیند دوباره استفاده می‌کند.
  • شامل یک session GUID در هر رویداد برای امکان correlation رویدادها در همان جلسه ورود.
  • بارگیری درایورها یا DLL ها را با امضا و هش آنها ثبت می کند.
  • گزارش‌ها برای دسترسی خواندنdiskها و volumeها باز می‌شوند.
  • به صورت اختیاری اتصالات شبکه، از جمله فرآیند Source هر اتصال، آدرس‌های IP، شماره پورت، نام host و نام پورت را ثبت می‌کند.
  • تغییرات در زمان ایجاد فایل را تشخیص می دهد تا بفهمد واقعاً چه زمانی یک فایل ایجاد شده است.
  • در صورت تغییر در registry ، config را دوباره بارگیری کنید.

 

دستورات و نحوه نصب ابزار Sysmon

پس از دانلود Sysmon پنجره cmd را باز کرده و دستورات مورد نیاز زیر را وارد میکنیم:

نصب با تنظیمات پیش فرض (پردازش تصاویر هش شده با SHA1 و بدون نظارت بر شبکه)

sysmon -accepteula -i

نصب با فایل config (config مربوطه باید از قبل دانلود و در مسیر c:\windows قرار بگیرد)

sysmon -accepteula -i c:\windows\config.xml

uninstall

sysmon -u

حذف فایل    config

sysmon -c

نمایش طرح config

sysmon -s

 

رویدادهای ایجاد شده توسط ابزار Sysmon

Event ID 1: Process creation

رویداد ایجاد فرآیند، اطلاعات گسترده ای را در مورد یک فرآیند ایجاد شده جدید ارائه می دهد.

Event ID 2: A process changed a file creation time

رویداد تغییر زمان ایجاد فایل، زمانی ثبت می شود که زمان ایجاد فایل به صراحت توسط یک فرآیند اصلاح شود. این رویداد به ردیابی زمان واقعی ایجاد یک فایل کمک می کند.

 

Event ID 3: Network connection

رویداد اتصال شبکه، اتصالات TCP/UDP را روی دستگاه ثبت می‌کند.

Event ID 4: Sysmon service state changed

رویداد تغییر وضعیت سرویس، وضعیت سرویس Sysmon (شروع یا متوقف شده) را گزارش می کند.

Event ID 5: Process terminated

هنگامی که یک فرآیند خاتمه می یابد، رویداد خاتمه فرآیند گزارش می دهد.

Event ID 6: Driver loaded

رویدادهای بارگذاری شدن درایور، اطلاعاتی را در مورد درایور در حال بارگذاری بر روی سیستم ارائه می دهد.

Event ID 7: Image loaded

هنگامی که یک ماژول در یک فرآیند خاص بارگذاری می شود، رویداد بارگذاری شدن تصویر ثبت می شود.

Event ID 8: CreateRemoteThread

رویداد CreateRemoteThread زمانی را تشخیص می دهد که یک فرآیند یک رشته در یک فرآیند دیگر ایجاد می کند.

Event ID 9: RawAccessRead

رویداد RawAccessRead زمانی را تشخیص می‌دهد که فرآیندی عملیات خواندن را از درایو با استفاده از علامت \.\\ انجام می‌دهد.

Event ID 10: ProcessAccess

هنگامی که فرآیندی فرآیند دیگری را باز می‌کند، به گزارش‌های رویداد دسترسی پیدا می‌کند، عملیاتی که اغلب با درخواست‌های اطلاعاتی یا خواندن و نوشتن فضای آدرس فرآیند هدف دنبال می‌شود.

Event ID 11: FileCreate

عملیات ایجاد فایل هنگام ایجاد یا بازنویسی یک فایل ثبت می شود.

Event ID 12: RegistryEvent (Object create and delete)

کلید و مقدار Registry نقشه عملیات را به این نوع رویداد ایجاد و حذف می کند، که می تواند برای نظارت بر تغییرات مکان های شروع خودکار Registry یا اصلاحات Registry بدافزار خاص مفید باشد.

Event ID 13: RegistryEvent (Value Set)

این نوع رویداد Registry تغییرات مقدار Registry را شناسایی می کند.

Event ID 14: RegistryEvent (Key and Value Rename)

عملیات تغییر نام کلید Registry و مقدار به این نوع رویداد نشان داده می شود و نام جدید کلید یا مقدار تغییر نام داده شده را ثبت می کند.

Event ID 15: FileCreateStreamHash

این رویداد زمانی که یک فایل با نام ایجاد می‌شود، ثبت می‌شود و رویدادهایی را ایجاد می‌کند که هش محتوای فایلی را که جریان به آن اختصاص داده شده است و همچنین محتویات جریان نام‌گذاری شده را ثبت می‌کند.

Sysmon دارای تقریبا 30 event id است که ما نیمی از آن را به شما معرفی کردیم

Sysmon بخشی از بسته نرم‌افزاری Sysinternals است که اکنون متعلق به مایکروسافت است و گزارش‌های استاندارد ویندوز را با تولید برخی نظارت‌های سطح بالاتر از رویدادها مانند ایجاد فرآیند، اتصالات شبکه و تغییرات در سیستم فایل را نمایش میدهد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *